Transmission

Ubuntu 18.04 LTS – Installation de Transmission avec OpenVPN, Nginx, Docker et SSL/TLS

Transmission est un client BitTorrent multiplateforme qui permet le téléchargement et la création de torrents. Il supporte les technologies décentralisées sans tracker, tel que PEX, DHT et les liens magnets. Je vous recommande cependant l’utilisation de Deluge plus léger et plus complet…

Transmission sera accessible depuis l’extérieur via Nginx utilisé comme reverse proxy et sera sécurisé grâce à un certificat SSL/TLS délivré par Let’s Encrypt.

1 – Prérequis

  • Vous devez disposer d’Ubuntu 18.04 LTS.
  • Votre utilisateur doit avoir accès à sudo.
  • Les paquets curl et software-properties-common doivent être installés sur votre système. Dans le doute, tapez la commande suivante :

Si vous ne possédez pas de serveur dédié ou de nom de domaine, je vous conseille les VPS de 1&1. Les serveurs sont rapides (basés en France), fiables et surtout très abordables. Les formules Cloud S ou Cloud M sont amplement suffisantes.

2 – Installation de Docker & Docker Compose

  • Ajoutez la clé GPG du dépôt officiel de Docker à votre système :
  • Ajoutez Docker à vos dépôts APT :
  • Mettez à jour la liste des fichiers disponibles dans vos dépôts APT :
  • Installez Docker CE :
  • Vérifiez que Docker est correctement installé avec la commande sudo systemctl status docker :
  • Téléchargez Docker Compose avec la commande suivante en modifiant la version si besoin avec la dernière release du repository officiel de Docker :
  • Ajoutez les droits d’exécution sur le binaire de Docker Compose :
  • Vérifiez l’installation de Docker Compose avec la commande docker-compose -v :

3 – Droits Unix

Il est recommandé, pour des raisons de sécurité, de créer un utilisateur dédié à la gestion du volume Docker Transmission et de ne pas le lancer sous votre super-utilisateur.

  • Créez un utilisateur transmission :
  • Ajoutez-le au groupe docker :

4 – Création du volume Transmission

Deux possibilités s’offrent à vous concernant les volumes Docker. La première, fortement recommandée, consiste à utiliser une image Docker composée de Transmission et d’OpenVPN. Cette image permet, de façon transparente et sécurisée, de télécharger vos torrents via une interface VPN. Elle dispose aussi de règles iptables qui font en sorte que si, pour une raison ou une autre, le VPN venait à tomber, les téléchargements seraient interrompus et votre véritable IP ne serait pas dévoilée.

Cette image Docker fonctionne avec le VPN AirVPN. Avec AirVPN, vous disposerez d’un VPN rapide, stable, fortement chiffré, confidentiel (aucune conservation d’historique), adapté au P2P et celui permet de choisir son serveur VPN en fonction de la localisation et de la charge et ainsi d’obtenir de meilleurs performances.

La deuxième solution est de s’affranchir du VPN et d’utiliser une image contenant simplement Transmission. Sachez simplement que votre IP sera visible et que vos téléchargements ne seront ni chiffrés, ni anonymes…

…avec AirVPN (choix recommandé)

  • Générez un fichier de configuration OpenVPN sur AirVPN. Pour cela, connectez-vous sur votre espace client AirVPN, rendez-vous dans Client Area → Config Generator.

    Choisissez tout d’abord le système Linux, puis le serveur où vous souhaitez vous connecter (choisissez un pays plutôt qu’un serveur en particulier). Cochez le protocole UDP, acceptez les conditions générales d’utilisation et, enfin, télécharchez le fichier de configuration en cliquant sur le bouton Generate.

  • Copiez le fichier de configuration .ovpn précédemment obtenu dans le répertoire
    /home/transmission.

    Le fichier .ovpn doit appartenir à l’utilisateur et au groupe transmission et doit avoir les permissions 755 ! Faîtes un chown et un chmod si besoin en remplaçant AirVPN_*_UDP-443.ovpn par le nom du fichier de configuration que vous avez précédemment téléchargé sur AirVPN :

  • Connectez-vous sous l’utilisateur transmission et déplacez-vous dans le répertoire personnel de cet utilisateur :

  • Créez le fichier /home/transmission/docker-compose.yml et modifiez les lignes en surbrillance en fonction de votre configuration :

    • /home/transmission/downloads:/data : chemin absolu des répertoires partagés entre votre système et le container docker. La première partie /home/transmission/downloads (avant le séparateur « : ») représente le chemin où vos fichiers téléchargés seront stockés sur votre système. La deuxième partie /data représente le chemin de vos fichiers téléchargés à l’intérieur du container docker. Cette dernière ne doit pas être modifiée.
    • /home/transmission/AirVPN_*_UDP-443.ovpn:/etc/openvpn/custom/default.ovpn : modifiez AirVPN_*_UDP-443.ovpn par le nom du fichier de configuration que vous avez précédemment téléchargé sur AirVPN.
    • PUID et PGID : ces deux variables représentent respectivement l’identifiant et le groupe de votre utilisateur transmission. Ces valeurs peuvent être différentes d’un système à l’autre. Tapez la commande suivante pour obtenir le PUID (=uid) et PGID (=gid) de votre utilisateur transmission :
    • OPENVPN_USERNAME=airvpn_username et OPENVPN_PASSWORD=airvpn_password : utilisateur et mot de passe de votre compte AirVPN.
    • TRANSMISSION_RPC_USERNAME=username et TRANSMISSION_RPC_PASSWORD=password : utilisateur et mot de passe pour accéder à l’interface web de Transmission.

    Il est important que l’utilisateur transmission ait les droits de lecture et d’écriture dans les répertoires de votre système que vous spécifiez.

  • Démarrez le container transmission :
  • Listez vos containers avec la commande $ docker ps -a :
  • Au démarrage du container, trois nouveaux répertoires seront générés dans /home/transmission/downloads : incomplete (emplacement des fichiers en cours de téléchargement), completed (emplacement de vos fichiers téléchargés) et watch (lorsqu’un fichier .torrent sera déposé dans ce répertoire, celui-ci sera automatiquement ajouté dans Transmission). Cependant ces répertoires sont créés avec l’utilisateur root et donc pour éviter de futurs problèmes de permissions, il est nécessaire d’attribuer ces répertoires à l’utilisateur et au groupe transmission. Pour cela, repassez sous votre super-utilisateur et modifiez le propriétaire et le groupe avec les commandes suivantes :

…sans VPN

  • Connectez-vous sous l’utilisateur transmission et déplacez-vous dans le répertoire personnel de cet utilisateur :
  • Créez le fichier /home/transmission/docker-compose.yml et modifiez les lignes en surbrillance en fonction de votre configuration :

    • PUID et GUID : ces deux variables représentent respectivement l’identifiant et le groupe de votre utilisateur transmission. Ces valeurs peuvent être différentes d’un système à l’autre. Tapez la commande suivante pour obtenir le PUID (=uid) et GUID (=gid) de votre utilisateur transmission :
    • /home/transmission/config:/config : chemin absolu des répertoires partagés entre votre système et le container docker. La première partie /home/transmission/config (avant le séparateur « : ») représente le chemin où le fichier de configuration sera stocké sur votre système. La deuxième partie /config représente le chemin du fichier de configuration à l’intérieur du container docker. Cette dernière ne doit pas être modifiée.
    • /home/transmission/downloads:/downloads : même principe mais pour l’emplacement de vos fichiers téléchargés.
    • /home/transmission/watch:/watch : cette ligne est facultative mais utile si vous comptez de manière automatique ou non déposer des fichiers .torrent via FTP par exemple sur votre serveur. Dès qu’un fichier de ce type sera déposé dans le répertoire /home/transmission/watch, le torrent sera automatiquement ajouté dans Transmission.

    Il est important que l’utilisateur transmission ait les droits de lecture et d’écriture dans les répertoires de votre système que vous spécifiez.

  • Démarrez une première fois le container Transmission pour générer les fichiers de configuration :
  • Listez vos containers avec la commande $ docker ps -a :
  • Sécurisez votre interface Transmission en activant l’authentification. Pour cela, arrêtez le container transmission avec la commande suivante :
  • Modifiez la valeur de la propriété rpc-authentication-required, rpc-password (mettre le mot de passe en clair, Transmission se chargera de le chiffrer au redémarrage du container) et rpc-username dans le fichier de configuration de Transmission /home/transmission/config/settings.json :
  • Démarrez le container transmission :
  • Repassez sous votre super-utilisateur :

Si vous êtes en local, vous pouvez désormais accéder à Transmission via http://localhost:9091.

5 – Reverse proxy avec Nginx

Si vous souhaitez accéder à Transmission de l’extérieur via une URL de type http://transmission.mondomaine.com/ alors un reverse proxy est nécessaire. Le reverse proxy remplit le rôle de passerelle entre l’extérieur (Internet) et le réseau local de votre serveur.

N’oubliez pas de modifier les règles DNS dans l’interface administrateur du fournisseur de votre nom de domaine pour pointer vers l’IP de votre serveur.

Notre choix se portera sur le serveur HTTP Nginx pour une question de performances. Nginx est reconnu pour ses hautes performances, sa stabilité, son ensemble de fonctionnalités, sa configuration simple ainsi que sa faible consommation en ressources.

  • Installez le paquet nginx :
  • Modifiez les directives suivantes du fichier de configuration Nginx /etc/nginx/nginx.conf :

    • worker_processes 8; : l’un des paramètres à ajuster immédiatement est le worker_processes. Pour profiter pleinement de la puissance de votre serveur, il est recommandé de mettre autant de worker_processes que de cœurs disponibles sur votre serveur. Pour connaître le nombre de cœurs sur votre serveur, il suffit de lancer la commande :
    • server_tokens off; : pour des raisons de sécurité, il est recommandé de désactiver l’envoi d’informations telles que le numéro de version de votre Nginx. Pour cela, décommentez cette directive dans le bloc http.
  • Créez le virtual host /etc/nginx/sites-available/transmission et modifiez la ligne en surbrillance en fonction de votre configuration :
  • Activez le virtual host :
  • Rechargez la configuration Nginx :
    Transmission est désormais accessible via http://transmission.mondomaine.com.

6 – Sécuriser Transmission avec SSL/TLS

Let’s Encrypt est une autorité de certification libre, automatisée et ouverte. Cette autorité fournit des certificats gratuits X.509 pour le protocole cryptographique SSL/TLS au moyen d’un processus automatisé destiné à se passer du processus complexe actuel impliquant la création manuelle, la validation, la signature, l’installation et le renouvellement des certificats pour la sécurisation des sites internet. En mai 2018, Let’s Encrypt avait délivré plus de 70 millions de certificats.

6.1 – Installation

Installez les paquets software-properties-common et certbot :

6.2 – Génération des certificats

Let’s Encrypt permet de générer de différentes façons plus ou moins automatisées un certificat. La méthode standalone permet de générer simplement un certificat. En revanche, celle-ci demande d’arrêter le serveur Nginx et ceci est valable à chaque renouvellement dudit certificat. Il existe aussi des plugins apache et nginx entièrement automatisés. Ces plugins mettent à jour automatiquement la configuration des virtual hosts mais le plugin nginx est encore expérimental. Dans cet article, nous recommandons d’utiliser le plugin webroot qui permet de générer et renouveler son certificat sans interrompre le serveur Nginx.

Le plugin webroot crée un fichier temporaire .well-known/acme-challenge dans un dossier spécifique accessible à Nginx, celui-ci permettra aux serveurs de Let’s Encrypt d’appeler ce fichier temporaire et ainsi de valider votre certificat.

  • Créez le répertoire destiné au fichier temporaire de Let’s Encrypt :
  • Créez le fichier /etc/nginx/snippets/letsencrypt avec les lignes suivantes pour rediriger Let’s Encrypt vers le dossier local précédemment créé :

  • Importez le fichier précédemment créé dans votre virtual host :
  • Recharchez votre configuration Nginx :
  • Générez votre certificat en remplaçant email@mondomaine.com et transmission.mondomaine.com par vos informations personnelles :

    Vous obtiendrez 4 fichiers dans le répertoire /etc/letsencrypt/live/transmission.mondomaine.com :

    • cert.pem : le certificat de votre domaine transmission.mondomaine.com
    • chain.pem : le certificat Let’s Encrypt
    • fullchain.pem : les certificats cert.pem et chain.pem combinés
    • privkey.pem : la clé privée du certificat.
  • SSL/TLS utilise un système de chiffrement asymétrique (comme RSA ou Diffie-Hellman) afin de sécuriser les échanges de vos flux. Par défaut, Nginx utilise une clé de 1048 bits. En augmentant la longueur de la clé à 4096 bits, vous augmenterez ainsi la sécurité de votre protocole SSL/TLS. Générez une nouvelle clé Diffie-Hellman (DH) de 4096 bits et attribuez-lui un minimum de permissions :

6.3 – Renouvellement automatique du certificat

Les certificats délivrés par Let’s Encrypt sont valides 90 jours. L’outil certbot fournit une option renew permettant de renouveler l’ensemble des certificats présents sur votre serveur si et seulement si ceux-ci expirent dans moins de 30 jours.

Nous allons créer une règle crontab où le script de renouvellement sera planifié pour exécution tous les lundis à 23h42. Les traces liées à l’exécution du script seront enregistrées dans un fichier /var/log/le-renew.log.

  • Éditez la crontab :
  • Ajoutez la ligne suivante :
  • Sauvegardez et quittez.

6.4 – Vhost

  • Modifiez votre virtual host et les lignes en surbrillance en fonction de votre configuration :
  • Rechargez votre configuration Nginx :

7 – HTTP2

Je vous conseille vivement d’activer le nouveau protocole HTTP2 qui augmentera la sécurité et la rapidité de votre Transmission.

HTTP2 permet notamment :

  • la compression des headers des requêtes et des réponses réduisant la bande passante lorsque les headers (comme les cookies) sont similaires.
  • le multiplexage des requêtes au serveur consistant à faire passer de multiples informations via un seul tuyau de transmission. Ainsi, on économise les multiples connexions entre le client et le serveur. Les requêtes, quant à elles, sont effectuées simultanément par le navigateur. Les requêtes ne se suivent donc plus les unes derrière les autres (HTTP1) et les plus prioritaires (CSS par exemple) ne sont plus bloquées par les moins prioritaires (images par exemple).
  • le push des ressources du serveur au navigateur. Désormais, le serveur pourra envoyer l’ensemble des ressources référencées dans une même page (CSS, JS…), avant même que le navigateur n’ait analysé celle-ci.

L’activation du protocole HTTP2 est très simple et consiste en l’ajout de la directive http2 dans votre virtual host (/etc/nginx/sites-available/transmission) :

Une fois la modification effectuée, n’oubliez pas de recharger votre configuration Nginx :


Ubuntu 18.04 Server LTSDocker 18.06.0-ce
Docker Compose 1.21.2
Nginx 1.14.0
Transmission 2.94

AuteurEdouard WATTECAMPS

0 réponses

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.